Firewall pentru aplicații web și protecție împotriva atacurilor
Scurt rezumat
WAF/WAAP filtrează și controlează traficul HTTP (S )/WebSocket la nivelul aplicației: blochează exploatarea vulnerabilităților (OWASP Top 10), încearcă să ocolească autentificarea, scanarea, traficul automatizat de bot și L7 DDoS. Stiva modernă este completată de un motor anti-bot, protecție API, limitarea ratei, patch-uri virtuale, precum și integrarea strânsă cu CI/CD, astfel încât regulile să se desfășoare la fel de sigur ca codul.
Roluri și loc în arhitectură
Edge/CDN WAF (cloud): latenţă scăzută, reputaţie globală/reguli de administrare, L7 DDoS.
Auto-găzduit WAF (on-prem/K8s): integrare profundă cu rețele interne, reglare fină.
WAAP abordare: WAF + funcții API-Gateway (schema-validare, authZ), anti-bot, L7 DoS, mTLS.
Scheme de incluziune: Reverse-proxy înainte de cerere; Controler de intrare în K8s; Filtre Mesh service; sidecar.
Model de protecție
Securitate negativă (semnături/CRS): acoperirea rapidă a tehnicilor cunoscute (SQLi/XSS/SSRF/RCE).
Securitate pozitivă (allow-list): permite numai cererile „valide” (metode/căi/scheme/tipuri de conținut).
Virtual Patching: blocarea on-line a exploit la codul fix.
Context: politici diferite pentru conținut static, API, administratori, descărcări, broșuri web.
Amenințări și măsuri tipice
OWASP Top 10: SQLi, XSS, IDOR/BOLA, SSRF, injecții șablon, deserializare, misconfigs.
L7 DDoS: cereri lente/antete, explozie pentru punctele finale fierbinți → protecție: limite de rată, provocare, blocare automată.
Roboți/răzuitori: comportament, frecvență, modele „inumane”, amprentarea dispozitivului, jetoane dinamice.
Acreditare Stuffing/ATO: interceptarea/enumerarea login-urilor → anomalie prin IP/ASN, reguli de viteză, factori suplimentari.
Descărcări: tip/dimensiune/antivirus multiscan, „numai pentru imagini” în zonele media.
API/GraphQL: validarea schemei, „maxDepth ”/„ maxCost”, interzicerea cărților sălbatice nepedepsite, controlul metodelor și anteturilor.
Politici și designeri de reguli
Schelet de bază pentru orice aplicație:1. Transport: TLS 1. 2+/1. 3, HSTS, mTLS pe backends sensibile.
2. Metode: allow-list ('GET, POST, PUT, DELETE, PATCH, OPTIONS') este unic per resursă.
3. Trasee: măști/regexuri stricte; admin/facturare - la un prefix/domeniu separat.
4. Antete: liste albe, interzicerea de periculoase ("X-Original-URL', non-standard) inutil.
5. Corpuri: numai JSON/Multipart-numai de-a lungul traseului; limitează 'Content-Length', bloc de binare pentru „login/search”.
6. Limite de tarif: per-IP/ASN/cheie/organizare; limite separate privind cererile „scumpe”.
7. Anti-bot: notare comportamentală, provocări „neiritante”, identități de lipire (jetoane cookie, FP JA3/TLS).
8. Reguli CRS/Managed: activat, tuning în conformitate cu FP.
9. patch-uri Wirth: blocarea rapidă a parametrilor cunoscuți/modele de atac.
10. Jurnale/metrici: format uniform, corelație cu 'trace _ id', rapoarte FP/TP.
Practica de tuning: cum să reduci pozitivele false
Rulați reguli noi în modul Detectare/Numărare (umbră) cu eșantionarea traficului.
Creați excepții în funcție de context ('path =/search', 'param = q' permite caractere speciale).
Împărțiți zona: „pagini publice” vs „operațiuni sensibile” (pragul agresivității este diferit).
Transportor: regulă → montare → canar (1-5%) → prod; rollback de metrici FP.
Mențineți un director de sarcină utilă „falsă” pentru testele de regresie.
Integrarea în DevSecOps
CI: reguli statice în Git; teste: reluarea cererilor reale + sintetice din directorul de atac.
CD: calcule canare, steaguri caracteristice; monitorizarea „politică” (schimbarea regulilor = schimbare).
RASP și SAST/DAST: suplimentele WAF, dar nu înlocuiesc corecția codului.
Observabilitate și SLO
Măsurători:- p95/99 latență prin WAF; proporția de blocat/ratat; Share Managed Rules vs custom; „rata de atac”.
- Anti-bot: ponderea provocărilor/schimbărilor, FP/TP.
- L7 DDoS: evenimente de tip burst-rate, auto-atenuare.
- "Nu mai mult de 0. 5% FP privind operațiunile autorizate/zi"
- „p95 deasupra capului WAF ≤ 10 мс”.
- Accesat în ≤ 30 minute. ^ „Virtual patch TTR”.
- Alerte: 4xx/5xx spike după eliberarea regulilor; Creșterea PC; picătură în pasajul captcha; degradarea validării JWKS/mTLS.
Configurații de probă
ModSecurity + OWASP CRS (Nginx)
nginx
Enabling ModSecurity modsecurity on;
modsecurity_rules_file /etc/nginx/modsec/main. conf;"/etc/nginx/modsec/main. conf. univ. dr
apache
SecRuleEngine On
Include /usr/local/owasp-modsecurity-crs/crs-setup. conf
Include /usr/local/owasp-modsecurity-crs/rules/.conf
Example of an exception for a search parameter
SecRule REQUEST_URI "@beginsWith /search" "id:900100,phase:1,pass,nolog,ctl:ruleRemoveByTag=attack-xss"
SecRule REQUEST_URI "@beginsWith /search" "id:900101,phase:2,pass,ctl:ruleRemoveTargetById=942100; ARGS:q"AWS WAF (JSON, limita de tarif + bloc lista de țară)
json
{
"Name": "prod-web-acl",
"Scope": "CLOUDFRONT",
"DefaultAction": { "Allow": {} },
"Rules": [
{
"Name": "BurstLogin",
"Priority": 1,
"Statement": {
"RateBasedStatement": {
"Limit": 100,
"AggregateKeyType": "IP",
"ScopeDownStatement": { "ByteMatchStatement": {
"SearchString": "/login",
"FieldToMatch": { "UriPath": {} },
"TextTransformations": [{ "Priority": 0, "Type": "NONE" }],
"PositionalConstraint": "CONTAINS"
}}
}
},
"Action": { "Block": {} },
"VisibilityConfig": { "MetricName": "BurstLogin", "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true }
}
]
}Cloudflare (Reguli de exprimare)
(http. request. uri. path contains "/admin" and ip. geoip. country ne "UA")
or (http. request. uri. path eq "/login" and cf. threat_score > 10)
or (http. request. uri. path contains "/api" and not http. request. headers["authorization"][0] contains "Bearer ")NGINX: Metodă simplă/Regula corpului
nginx location /api/withdraw {
limit_except POST { deny all; }
if ($request_method = POST) {
set $cl $http_content_length;
if ($ cl = "") {return 411;} # length is required if ($ cl> 1048576) {return 413;} # ≤ 1MB add_header X-Idempotency-Required "true";
}
}GraphQL: poliţişti
„maxDepth = 6”, „maxCost = 1000”, interzicerea „schemei de __” în vânzare, lista permisă a operațiunilor, validarea anteturilor („Tip de conținut: cerere/json”).
Controale anti-bot și om-friendly
Provocare invizibilă (provocări JS fără captcha), dovada muncii pe căi „scumpe”, analiză comportamentală (mișcări/temporizări).
TLS/JA3 amprentarea digitală, reputația IP/ASN, listele proxy/VPN (în limite rezonabile).
Capcane (câmpuri honeypot) pe formulare, formular dinamic/jetoane de sesiune.
Protecția vieții private: minimizarea urmăririi, politici transparente, opțiuni de renunțare.
Focus API
Schema-first: Schema OpenAPI/JSON pentru validare; interzicerea câmpurilor suplimentare.
Auth: obligatoriu Bearer JWT sau mTLS; respinge без „autorizație”.
Rata/Cota: per-cheie/per-org; dacă este depășită - „bloc moale „/încetinire.
Carti web: semnatura HMAC, 'timestamp + nonce', fereastra scurta de receptie.
GraphQL: vezi limitatoarele de mai sus; Înregistrați numele/eticheta operațiunii.
Descărcări și mass-media
Limita de dimensiune, lista albă MIME/extensii, redenumirea fișierelor;
Scanare AV (multi-motoare), politica ImageMagick (fără decodoare periculoase);
Serviciu degetul mare pe un domeniu separat, servi-numai-imagini.
Siguranța administratorilor și a zonelor critice
Domeniu/cale separată, mTLS/interdicție din ASN/țări comune, limite ale ratei dure, accesări JIT, lista permisă IP.
Semnalele suplimentare (postura dispozitivului, scorul de risc) → necesita o a doua verificare.
Operațiuni, incidente și patch-uri virtuale
Runbook: eliberare rapidă a regulilor de bloc, restricție TTL, notificare de comandă.
Criterii de revenire: creștere 4xx/5xx> prag, FP> prag, p95 latency↑.
Post-mortem: adăugați testul la setul de reguli de regresie, angajați alerta SIGMA la SIEM.
Respectarea și confidențialitatea
Minim jurnal: cale/metodă/cod/bloc motiv/identificatori; nu păstrați secretele PII/corporale.
Perioade de păstrare a jurnalului de politici; acces - pe roluri; criptare pe disc.
Caracteristici pentru iGaming/fintech
Plăți/plăți/portofele: cote per-org, mTLS către PSP, liste stricte de căi, HMAC pentru carti web PSP.
ATO/bonus abuz: reguli de viteză pentru autentificare/înregistrare/coduri promoționale, limite comportamentale și anti-bot.
Furnizori/studiouri de conținut: domenii/politici individuale, IP/ASN allow-list, monitorizare/conversii Time-to-Wallet privind impactul WAF.
Cerințe regionale: geo-politici (țări/regiuni), transparența tratamentului pentru GDPR.
Foaie de parcurs pentru implementare
1. Inventarul zonelor (public, API, panou admin, descărcări).
2. Profil de bază: TLS, metode/căi de listă permisă, Reguli gestionate/SIR.
3. Limitele ratei + anti-bot pe căi sensibile.
4. Patch-uri virtuale și procesul de reguli urgente (SLA ≤ 30 min).
5. CI/CD pentru reguli, staging/canar/shadow-mode.
6. Telemetrie, SLO, teste de regresie a regulilor.
7. Revizuirea periodică a excepțiilor și „curățarea” by-pass-urilor.
Greșeli comune
„Activat toate CRS la maxim” → avalanșă FP și echipa burnout.
Reguli fără canari și modul umbră.
Fără segmentare: o politică pentru orice.
Ignorarea specificului API/GraphQL (schemă/limite).
Jurnale fără corelație ('trace _ id') și fără valori de calitate.
ÎNTREBĂRI FRECVENTE
WAF înlocuiește codul securizat?
Nu, nu este. Acesta este un strat de atenuare și un „patch virtual”, dar datoria tehnică din cod trebuie eliminată.
Cum să înțelegeți că este timpul să porniți blocuri dure?
Când raportul modului umbră arată FP scăzut și există teste de regresie ale regulilor.
Am nevoie de un WAF separat pentru API?
O mai bună WAAP/integrare cu API gateway: schemă, limite, autentificare, semnături webhook.
Total
WAF/WAAP eficient este o combinație de reguli de bază CRS/Managed, model pozitiv, anti-bot, limite și patch-uri virtuale, susținute de procese DevSecOps, telemetrie și SLO-uri clare. Această abordare oferă un răspuns rapid la vulnerabilități, rezistență la atacuri automate și un impact previzibil asupra UX și a performanței.